AUTOMOBILE ET PROCEDE DE RECEPTION DESDITES

DONNEES PAR UN AUTRE VEHICULE, A TRAVERS UN CANAL

DE COMMUNICATION RADIO.

[0001] La présente invention concerne de manière générale un procédé d’émission sécurisée de données depuis un véhicule automobile A, à travers un canal de communication, et un procédé de réception sécurisée de données par un véhicule automobile B à travers un canal de communication.

[0002] Les communications entre véhicules automobiles sont soumises à des dispositions légales qui réglementent la liberté de traitement des données personnelles. En France par exemple, la CNIL (Commission Nationale de l’Informatique et des Libertés) veille à la mise en conformité des véhicules automobiles communicants avec la loi « Informatique et Libertés ».

[0003] En matière de communication entre véhicules automobiles, les défis sont de garantir l’authenticité, l’intégrité et l’anonymisation des données. Par exemple, il doit être impossible de suivre un véhicule en écoutant les données qu’il émet.

[0004] Une solution connue pour anonymiser les données émises par un véhicule tout en permettant de garantir la confidentialité et l’intégrité de ces données repose sur l’utilisation de certificats de clés publique et privée. Cette solution requiert une infrastructure PKI capable de générer un nombre très important de certificats. Il est estimé qu’avec un tel système, chaque véhicule communicant doit utiliser un nouveau certificat tous les 800 mètres. A l’échelle d’un pays comme la France, il faudrait donc générer des milliards de certificats par année, ce qui nécessiterait de déployer plusieurs centaines de serveurs sur le territoire français.

[0005] La présente invention vient améliorer la situation. [0006] Pour cela un premier aspect de l'invention concerne un procédé de d’émission de données data, depuis un véhicule automobile (A), à travers un canal de communication radio, comprenant :

- une étape d’obtention lors de laquelle ledit véhicule obtient auprès d’une entité de distribution une pluralité de séries de nombres contenant chacune

• une base g,,

• un nombre premier p,·,

• une première clé Z, ladite première clé Z étant le résultat d’un calcul consistant à élever la base g, à une puissance z,·, où z, est un nombre secret choisi par ladite entité de distribution, afin d’obtenir g ¹ , puis à calculer g _t ^Zi modulo p,·

• un nombre de validité V i associé à un premier groupe de nombres contenant p _/ , g, et ,

où i est un nombre entier représentant un indice de ladite série de nombres avec i = 1 , 2, ..., N ;

et stocke en mémoire, dans une table, les N séries de nombres ;

- une étape de génération d’un nombre aléatoire a ;

- une étape de calcul d’une deuxième clé K ^aZi en élevant la première clé a la puissance a pour obtenir Z _t ^a puis en calculant Z· ¹ modulo p ,· ;

- une étape de création d’un message M véhiculant les données {data) à partir d’un premier groupe de nombres contenant p,·, g, et Z, lors de laquelle le véhicule A :

• chiffre un deuxième groupe de nombres contenant a, p,· et g, à l’aide de la première clé Z ;

• insère dans ledit message M le nombre de validité V i associé à la première clé Z, le deuxième groupe de nombres a, p,· et g, chiffré à l’aide de la première clé Z _\ , dans un entête du message, les données data, dans un corps du message ;

• et effectue une opération cryptographique sur ledit message M en utilisant la deuxième clé K ^aZi ;

- une étape d’émission du message créé M par le véhicule à travers ledit canal de communication.

[0007] La présente invention permet d’anonymiser les communications du véhicule tout en garantissant la confidentialité et l’intégrité du message. Les moyens cryptographiques utilisés sont performants, très rapides et peu consommateurs en ressources de calcul.

[0008] Avantageusement, la deuxième clé K ^aZi est à usage unique, destinée à être utilisée uniquement pour le message M.

[0009] Avantageusement encore, le véhicule effectue au moins l’une des opérations cryptographiques du groupe comportant une opération de chiffrement du contenu du corps du message à l’aide de la deuxième clé K ^aZi et une opération cryptographique de signature du message à l’aide de la deuxième clé K ^aZi .

[0010] Dans un mode de réalisation particulier, le véhicule exécute ladite opération cryptographique utilisant la deuxième clé K ^aZi uniquement sur le corps du message.

[001 1 ] Le véhicule peut insérer un nombre aléatoire dans le corps du message.

[0012] L'invention concerne aussi un procédé de réception, par un deuxième véhicule, d’un message M transmis par un premier véhicule, à travers un canal de communication, selon le procédé d’émission qui vient d’être défini, caractérisé en ce qu’il comprend : - une étape d’obtention lors de laquelle ledit deuxième véhicule obtient auprès d’une entité de distribution et stocke en mémoire, dans une table, une pluralité de séries de nombres contenant chacune o une base g,,

o un nombre premier p,·,

o une première clé Z, ladite première clé étant le résultat d’un calcul consistant à élever la base g, à une puissance z,·, où z, est un nombre secret choisi par ladite entité de distribution, afin d’obtenir g ¹ , puis à calculer g ¹ modulo p,·

o un nombre de validité Vi associé à un premier groupe de nombres contenant p _/ , g, et Z, où i est un nombre entier représentant un indice de ladite série de nombres avec i = 1 , 2, ... , N ;

- une étape d’extraction du nombre de validité Vi du message M reçu ; - une étape d’extraction de la première clé Z associée au nombre de validité

Vi de la table stockée en mémoire ;

- une étape de déchiffrement de l’entête du message à l’aide de la première clé Zi, afin d’obtenir les nombres a, p _/ et g, ;

- une étape de calcul d’une deuxième clé K ^aZi consistant à élever la première clé Z à la puissance a pour obtenir Z _t ^a puis à calculer Z _t ^a modulo p,· ;

- au moins une étape de traitement cryptographique du message M reçu à l’aide de la deuxième clé K ^aZi .

[0013] Avantageusement, dans le cas où le message M est signé, le deuxième véhicule vérifie l’authenticité du message M en vérifiant la validité de la signature à l’aide de la deuxième clé K ^aZi .

[0014] Avantageusement encore, dans le cas où le message est chiffré, le deuxième véhicule déchiffre le message à l’aide de la deuxième clé K ^az i _en t _an t q _{ue C} |é e déchiffrement. [0015] Un autre aspect de l’invention concerne un dispositif de sécurisation des communications radio pour véhicule automobile, comportant des moyens agencés pour mettre en oeuvre les étapes du procédé d’émission et les étapes du procédé de réception, tels que précédemment définis.

[0016] Un dernier aspect de l’invention concerne un véhicule automobile intégrant un dispositif de sécurisation selon la revendication précédente.

[0017] D'autres caractéristiques et avantages de la présente invention apparaîtront plus clairement à la lecture de la description détaillée qui suit d'un mode de réalisation de l'invention donné à titre d'exemple nullement limitatif et illustré par les dessins annexés, dans lesquels :

la figure 1 représente une phase d’obtention de séries de nombres par deux véhicules A et B auprès d’une entité de distribution BO (« backoffice »), selon un exemple particulier de réalisation ;

- la figure 2 illustre une mise en oeuvre particulière du procédé de d’émission et du procédé de réception de l’invention ;

la figure 3 représente des sous-étapes d’une étape de préparation d’un message M véhiculant des données (dites « data ») à transmettre ;

- la figure 4 représente un schéma bloc fonctionnel d’un véhicule

(ici le véhicule A) configuré pour mettre en oeuvre les procédés d’émission et de réception de la figure 2.

[0018] La présente invention concerne la sécurisation des communications d’un véhicule automobile communicant. Plus particulièrement, elle concerne un procédé d’émission sécurisée de données par un véhicule automobile à travers un canal de communication, un procédé de réception sécurisée de données par un véhicule automobile à travers un canal de communication et un procédé de transmission sécurisée de données entre un premier véhicule automobile et un deuxième véhicule automobile. [0019] A titre d’exemple illustratif, on va décrire un procédé de transmission de données, dites « data » depuis un véhicule automobile A, dit émetteur, vers un véhicule automobile B, dit récepteur. Toutefois, l’invention s’applique de manière plus générale à l’émission de données depuis un véhicule automobile à travers un canal de communication et à la réception de données par un véhicule automobile à travers un canal de communication.

[0020] Sur la figure 1 , on a représenté un système pour la mise en oeuvre des procédés d’émission et de réception de l’invention, selon un exemple particulier de réalisation. Le système comporte une infrastructure à clés publiques ou PKI (de l’anglais « Public Key Infrastructure »), une entité (par exemple un serveur) de distribution, également appelée serveur de backoffice « BO », un véhicule automobile A et un véhicule automobile B.

[0021 ] Avant toute émission ou réception de données par les véhicules A et B, chacune des entités comportant le serveur BO, le véhicule A et le véhicule B obtient un certificat contenant une paire de clés publique et privée auprès de l’infrastructure PKI. Ainsi, lors d’une première étape initiale d’obtention de certificat E01 , le serveur de backoffice BO obtient un certificat CBO contenant une paire de clés publique et privée auprès de l’infrastructure PKI. Lors d’une deuxième étape initiale d’obtention de certificat E02, le véhicule A obtient un certificat CA contenant une paire de clés publique et privée auprès de l’infrastructure PKI. Enfin, lors d’une troisième étape initiale d’obtention de certificat E03, le véhicule B obtient un certificat CB contenant une paire de clés publique et privée auprès de l’infrastructure PKI. Les étapes E01 , E02 et E03 sont mises en oeuvre de façon connue de l’homme du métier.

[0022] Afin d’assurer la traçabilité des communications, des nombres aléatoires générés au niveau des véhicules (comme cela sera décrit ultérieurement) sont remontés au serveur BO.

[0023] Les certificats sont ici destinés à permettre l’établissement de communications sécurisées entre chacune des entités comportant le véhicule A, le véhicule B et le serveur de backoffice BO. De façon alternative, les communications entre chaque véhicule A, B et le serveur de backoffice BO pourraient être sécurisées par l’utilisation d’un identifiant et d’un mot de passe ou par toute autre méthode de sécurisation.

[0024] Le serveur de backoffice BO génère des séries de nombres, par exemple N séries de nombres (différentes les unes des autres), lors d’une étape E04. On note « i » l’indice de chaque série où i est un nombre entier compris entre 1 et N. Chaque série de nombres d’indice i contient les éléments suivants :

o une base p,·,

o un nombre premier p,·,

o une première clé Z,

o un nombre de validité V i associé à ladite première clé Z, et plus précisément à un premier groupe de nombres contenant p,·, g, et

Zi.

[0025] La première clé Z, est générée à partir d’un nombre secret

Z, choisi ou généré par le serveur de backoffice BO et en utilisant l’algorithme cryptographique d’échange de clés Diffie-Hellman à l’aide de la base p _/ et du nombre premier p,. Plus précisément, le calcul de la première clé Z consiste à élever la base g, à une puissance z,·, où, afin d’obtenir g _έ ^Zί , puis à calculer g i ^Zi modulo pi. Le nombre où z, est avantageusement un nombre aléatoire généré par le serveur de backoffice BO.

[0026] La validité V i est un identifiant, par exemple un nombre, attribué à la série de nombres d’indice i et identifiant cette série de façon unique. Ce nombre est une suite de X chiffres (chaque chiffre étant un entier naturel compris entre 0 et 9) où X est suffisamment grand pour assurer une identification unique de la série d’indice i. Par exemple, X est supérieur ou égal 20, de préférence supérieur ou égal à 30.

[0027] Chaque véhicule A (B) exécute ensuite une étape E1 1 (E12) d’obtention de séries de nombres, préalable à l’établissement de communications sécurisées et anonymisées, aux fins d’obtenir des séries de nombres générées par le serveur de backoffice et destinées à la sécurisation et l’anonymisation des communications. On va maintenant décrire l’étape d’obtention de séries de nombres E11 , mise en oeuvre par le véhicule A.

[0028] L’étape E11 comporte une première sous-étape E1 10 d’authentification mutuelle entre le véhicule A et le serveur de backoffice BO. Lors de cette première sous-étape, le véhicule A se connecte au serveur de backoffice BO et les deux entités A et BO s’authentifient mutuellement à l’aide de leurs certificats respectifs CA et CBO. Une fois l’authentification mutuelle réussie, le véhicule A transmet au serveur de backoffice BO une requête d’obtention d’une pluralité de séries de nombres, lors d’une deuxième sous- étape. En réponse à sa requête, lors d’une troisième sous-étape, le véhicule A reçoit un message d’initialisation contenant les N séries de nombres (g,, p _h Z, VI) avec i=1 , ..., N. Le message d’initialisation est avantageusement signé par le serveur de backoffice BO à l’aide de son certificat CBO. Dans un mode de réalisation particulier, le message d’initialisation est partiellement signé. Par exemple, seule la partie du message contenant Zi et V i est signée. Le véhicule A vérifie la signature du message à l’aide de la clé publique du serveur BO afin de vérifier son authenticité, lors d’une quatrième sous-étape. Si l’authentification du message est réussie, le véhicule A stocke en mémoire, dans une table, les séries de nombres récupérées auprès du serveur de backoffice BO, lors d’une cinquième sous-étape. En cas d’échec de l’authentification, l’obtention des séries de nombres est interrompue.

[0029] Le message d’initialisation peut également contenir, pour chaque série de nombres, une information temporelle relative à l’usage de la clé Zi, par exemple une date de début d’usage de la clé Zi. Les clés peuvent en effet avoir une durée de validité limitée, prédéfinie, à compter de cette date de début d’usage.

[0030] L’étape d’initialisation qui vient d’être décrite est également mise en oeuvre par le véhicule B, de façon analogue, lors d’une étape d’initialisation E12. [0031 ] A l’issue des étapes E1 1 et E12 d’obtention de séries de nombres, chaque véhicule A et B possède en mémoire un lot de séries de nombres (g,, p, Z, VI) avec i=1 , N.

[0032] On va maintenant décrire la transmission sécurisée de données data depuis le véhicule A vers le véhicule B à travers un canal de transmission, selon un exemple particulier de mise en oeuvre de l’invention. La transmission des données data du véhicule A au véhicule B comprend un procédé d’émission des données par le véhicule A et un procédé de réception des données par le véhicule B.

[0033] Dans l’exemple de réalisation décrit ici, les données data sont à la fois chiffrées et signées. Le chiffrement permet de garantir la confidentialité des données data transmises. La signature permet de garantir l'intégrité du message électronique et d'en authentifier l'auteur (c’est-à-dire ici le véhicule A émetteur) tout en garantissant l’anonymisation des données.

Procédé d’émission des données data par le véhicule A

[0034] Pour transmettre les données data, le véhicule A crée un message M pour véhiculer lesdites données data. Préalablement à la création du message M, le véhicule A génère une clé de chiffrement (appelée « deuxième clé de chiffrement » par la suite) à usage unique, destinée être utilisée pour chiffrer et/ou signer uniquement sur le message M.

Génération de la clé de chiffrement à usage unique

[0035] La génération de la clé à usage unique comporte trois étapes E20 à E22.

[0036] Lors de la première étape E20, le véhicule A génère un nombre aléatoire a puis, lors de la deuxième étape E21 , il extrait de la table de stockage une première clé Zi ainsi que les nombres associés à cette première clé Zi dans la table, à savoir la base g,, le nombre premier ,, et la validité 1 La clé Zi est choisie de façon aléatoire dans la table ou selon un ordre prédéfini d’ordonnancement des clés dans la table. Le cas échéant, la clé Zi est choisie selon sa période de validité.

[0037] Lors de la troisième étape E22, le véhicule A calcule une deuxième clé K ^aZi en élevant la première clé Z, à la puissance a pour obtenir Zi ^a puis en calculant Z _t ^a modulo pu Autrement dit, la deuxième clé est calculée selon l’expression K ^aZi = Z modulo p _t .

Préparation du message M

[0038] Le procédé comprend ensuite une étape E23 de préparation ou création du message M contenant les données data à transmettre, à partir du premier groupe de nombres contenant p g, et et en utilisant la clé de chiffrement à usage unique ou deuxième clé de chiffrement K ^aZi pour chiffrer le message.

[0039] L’étape E23 de préparation du message M comprend une sous-étape E230 lors de laquelle le véhicule A extrait les nombres p et gi, associés à la première clé Zi, de sa table ou mémoire de stockage, puis une sous-étape E231 de chiffrement d’un deuxième groupe de nombres contenant a, pi et gi à l’aide de la première clé Z utilisée comme clé de chiffrement symétrique. Par exemple, le chiffrement utilise l’algorithme de chiffrement symétrique AES (« Advanced Encryption Standard »). On note

le deuxième groupe de nombres chiffré par AES et la clé de chiffrement Zi. Il constitue un entête du message M.

[0040] Dans l’exemple de réalisation décrit ici, l’étape de préparation E23 du message M comprend également une sous-étape E232 de chiffrement des données data consistant à chiffrer les données data à l’aide d’un algorithme de chiffrement symétrique, par exemple AES, et en utilisant la deuxième clé K ^aZi comme clé de chiffrement symétrique. Les données data chiffrées sont notées (data) ^{AES RaZ} et constituent un corps de message, appelé « Body ». Autrement dit, on a l’expression suivante : Body = {dat ) ^{AES RaZ} . [0041 ] En variante, afin d’augmenter le niveau de sécurisation, les données data sont concaténées avec un nombre aléatoire RAND, par exemple quatre bits de valeur « 0 » ou « 1 », généré par le véhicule A, les données concaténées (data, RAND) sont chiffrées par chiffrement symétrique à l’aide de la deuxième clé K ^aZί . Dans ce cas, les données chiffrées sont notées (data, RAND) ^{AES RaZl} et constituent le corps de message. Autrement dit, on a dans ce cas l’expression suivante : Body = (data, RAND) ^{aes RaZl} .

[0042] L’étape E23 de préparation du message M comprend ensuite une sous-étape E233 de signature du message lors de laquelle le véhicule A génère une signature électronique du message M à l’aide d’un algorithme de signature numérique. Dans l’exemple de réalisation décrit, une signature est générée à partir du corps du message « Body ». La signature du message M est par exemple un code d’authentification de message de type HMAC (de l’anglais « keyed-hash message authentication code » pour code d'authentification d'une empreinte cryptographique de message avec clé), calculé à l’aide d’une fonction de hachage telle que SHA-256. Dans ce cas, la signature est notée HMAC K ^aZi (Body) ^SHA~256 . Une autre fonction de hachage ou un autre algorithme de signature pourraient être utilisées.

[0043] Lors d’une sous-étape finale E234 de création du message M, les composants ou éléments suivants sont concaténés dans r _\ AES Z

l’ordre : la validité Vi, l’entête (a, p., g.) chiffré avec la première clé Zi, le corps de message (Body) ^{AES K<lZl} chiffré avec la deuxième clé K ^aZi et la signature HMAC K ^aZi (Body) ^SHA~256 . Le message M a ainsi un format correspondant à la concaténation ordonnée de ces éléments, comme représenté ci-après : [0044] Toutefois, le message M pourrait avoir un format différent. Par exemple, les éléments composant le message M pourraient être concaténés dans un ordre différent.

[0045] L’étape E23 de préparation du message M est suivie d’une étape E24 de transmission de ce message M, à travers un canal de transmission radio, vers le véhicule B. Le message M transmis est ensuite reçu et traité par le véhicule B comme décrit ci-après.

[0046] Dans l’exemple de réalisation qui vient d’être décrit, le message est à la fois chiffré et signé à l’aide de la clé K ^aZi à usage unique. En variante, selon les besoins en termes de sécurisation, le message pourrait être chiffré uniquement à l’aide de la clé K ^aZi ou uniquement signé à l’aide de la clé K ^azi En toute hypothèse, le véhicule émetteur A effectue au moins une opération cryptographique (chiffrement ou signature) sur ledit message M en utilisant la clé K ^aZi à usage unique (c’est-à-dire valable uniquement pour le message M).

Procédé de réception et de traitement du message M reçu par le véhicule B

[0047] Lors d’une première étape E30, le message M est reçu par le véhicule B. Il est ensuite traité afin de vérifier son authenticité et en extraire les données data véhiculées en clair.

Traitement du message M

[0048] Lors d’une deuxième étape E31 , le véhicule B extrait du message M la valeur de validité V i.

[0049] Lors d’une troisième étape E32, le véhicule B extrait de sa table ou mémoire de stockage la première clé qui est associée à la validité Vi.

[0050] Lors d’une quatrième étape E33, le véhicule B déchiffre l’entête du message à l’aide de la première clé Z, et obtient ainsi les nombres a, pi et g,·. [0051 ] Puis, lors d’une cinquième étape E34, le véhicule B calcule une deuxième clé K ^aZi en élevant la première clé à la puissance a pour obtenir Z _£ “ puis en calculant Z? modulo p _r Autrement dit, le véhicule B calcule la deuxième clé K ^aZi selon l’expression suivante K ^aZi

[0052] Le véhicule B effectue ensuite une première étape E35 de traitement cryptographique du message M reçu, consistant à vérifier la signature HMAC K ^aZi (Body) ^{SHA~ 256} du message, en utilisant la deuxième clé _K ^az i calculée à l’étape E34, afin de vérifier l'authenticité du message.

[0053] En cas de vérification réussie de la signature du message M reçu, le véhicule B effectue une deuxième étape E36 de traitement cryptographique du message M reçu, consistant à déchiffrer le corps du message Body = ( data) ^{AES K<Z} en utilisant la deuxième clé K ^aZi calculée à l’étape E34, afin d’obtenir le corps du message en clair. Comme précédemment indiqué, Body contient les données data, éventuellement concaténées avec un nombre aléatoire RAND.

[0054] En cas d’échec de l’authentification du message M, le traitement du message M est interrompu. Un message signalant que le message n’a pas pu être authentifié peut être remonté à un utilisateur du véhicule.

[0055] Les étapes E1 1 et E12 sont réitérées respectivement par les véhicules A et B, de façon régulière et/ou en fonction des besoins en clés Zi. A cet effet, chaque véhicule A, B se connecte au serveur de backoffice BO et récupère de nouvelles séries de nombres (g,·, r,-, Z), VI), comme précédemment décrit.

[0056] Dans la description qui vient d’être faite, c’est le véhicule

A qui transmet des données au véhicule B. Bien entendu, le véhicule B pourrait transmettre de façon analogue des données au véhicule A ou à tout autre équipement à travers un canal de transmission radio. [0057] En référence à la figure 4, chaque véhicule A, B intègre un dispositif de sécurisation des communications radio, notamment pour sécuriser les communications radio entre véhicules automobiles, comportant des moyens agencés pour mettre en oeuvre les étapes du procédé d’émission et les étapes du procédé de réception, telles que précédemment décrites. En particulier, chaque véhicule comporte :

- une interface de communication radio 1 à travers un canal de communication radio ;

- un module 2 d’obtention de séries de nombres, apte à mettre en oeuvre l’étape E1 1 (E12) ;

- une mémoire ou table 3 de stockage des séries de nombres obtenus ;

- un générateur de nombres aléatoires 4 ;

- un module 5 de chiffrement/déchiffrement apte à mettre en oeuvre un algorithme de chiffrement / déchiffrement symétrique, ici AES,

- un module 6 de génération d’une clé à usage unique, apte à mettre en oeuvre les étapes E20 à E22 ;

- un module 7 de préparation ou de création d’un message M pour véhiculer des données data à transmettre, apte à mettre en oeuvre l’étape E23 ;

- un module 8 de traitement d’un message M reçu, apte à mettre en oeuvre les étapes E31 à E36,

- un module 9 d’émission et de réception de données à travers l’interface radio, notamment apte à mettre en oeuvre les étapes E24 et E30 de manière à émettre et recevoir des messages M véhiculant des données data.

[0058] On comprendra que diverses modifications et/ou améliorations évidentes pour l'homme du métier peuvent être apportées aux différents modes de réalisation de l’invention décrits dans la présente description sans sortir du cadre de l'invention défini par les revendications annexées.